Zum Inhalt springen
Alle Beiträge anzeigen

Der EU-KI-Act erklärt: Was Sie wissen müssen und wie Sie die Vorschriften einhalten

Unter Sarah Hospelhorn , Chief Marketing Officer

3 Minute gelesen

Der EU-KI-Act ist eine bahnbrechende Verordnung – die erste globale KI-Richtlinie dieser Art –, die Unternehmen bei der Entwicklung, Nutzung und Implementierung von KI-Technologien regeln soll. Das Gesetz soll sicherstellen, dass der Einsatz von KI-Technologien sowohl sicher als auch ethisch vertretbar ist. Es basiert auf einem risikobasierten Ansatz. Das bedeutet, dass die Regeln darauf ausgelegt sind, Risiken im Zusammenhang mit verschiedenen geschäftlichen Anwendungsfällen im Zusammenhang mit KI.

Unternehmen, die KI nutzen, müssen Compliance-Verpflichtungen erfüllen in Risikomanagement, Datenverwaltung, Transparenz und IT-Sicherheit.

Kurz gesagt: Je höher das mit einer KI-Anwendung (und den dafür verwendeten Daten) verbundene Risiko ist, desto strenger sind die Regeln für ihren Einsatz.

Wo Sie mit dem EU-KI-Gesetz beginnen sollten: Folgen Sie den Daten

Laut Gartner liegt der Schlüssel zur Bewältigung dieser Risiken darin, „den Daten zu folgen“. Viele der in den Vorschriften beschriebenen Risiken ergeben sich aus der Verarbeitung besonderer Kategorien personenbezogener Daten. 

Das KI-EU-Gesetz definiert mehrere Risikokategorien – und die ersten beiden sind am wichtigsten:

  • Inakzeptables Risiko: Alles, was als inakzeptables Risiko eingestuft wird, ist grundsätzlich verboten. Dazu gehören Daten und deren Verarbeitung wie biometrische Echtzeit-Identifikation oder jegliche Daten oder Aktivitäten, die zur Manipulation menschlichen Verhaltens und menschlicher Emotionen verwendet werden. 
  • Hohes Risiko: Dies ist der kritischste Bereich – Daten und Prozesse wie Finanz- und Versicherungsdaten (Preisgestaltung, Kreditwürdigkeit, Risikoanalyse) sowie Mitarbeiter- und Bildungsdaten (Leistung, Einstellung, Eigenschaften).
  • Begrenztes Risiko: Dies unterliegt einer geringeren Transparenz – mehr darüber, sicherzustellen, dass die Benutzer bewusst dass sie mit KI interagieren (denken Sie an Chatbots)
  • Minimales Risiko: Derzeit unreguliert – beispielsweise ein KI-gestützter Spamfilter.

Daher sollten Organisationen:

  1. Katalog der KI-Anwendungsfälle: Dokumentieren Sie die KI-Systeme, die von diesen Systemen verarbeiteten Daten, die Zwecke der Verarbeitung und die damit verbundenen Geschäftsprozesse.
  2. KI-Systeme kategorisieren: Erstellen Sie ein Inventar Ihrer KI-Systeme und finden Sie heraus, was Sie haben, auf welche Daten es zugreift und welche Zugriffsrechte es hat.
  3. Klassifizieren Sie von der KI verwendete Daten: Klassifizieren Sie Ihre Daten und implementieren Sie Kontrollen basierend auf Risiko, Kontext, Inhalt und Typ – damit Sie problemlos verwalten, verfolgen und darüber berichten können, welche Daten die KI für das Training verwendet hat, auf welche Daten sie zugreifen kann und wie sensibel und risikoreich diese Daten sind.

Daten im Zentrum des Risikos

Die Klassifizierung dieser Risikokategorien beginnt mit den Daten. Die Art der Daten, mit denen KI-Systeme trainiert werden, auf die sie zugreifen und die sie überwachen können, bestimmt das Risikoniveau. Daher ist es entscheidend, Ihre Daten zu verstehen und zu kontrollieren. 

Organisationen müssen:

  • Ermitteln Sie, welche Daten für die KI-Nutzung sicher sind.
  • Bestimmen Sie, welche Daten unter bestimmte Risikorichtlinien fallen.
  • Klassifizieren Sie Daten, um die Einhaltung von Vertraulichkeits- und gesetzlichen Anforderungen sicherzustellen.

Sicherstellung der Datentransparenz und -kontrolle

Um die neuen Vorschriften einzuhalten, müssen Unternehmen Einblick und Kontrolle sowohl in KI-Systeme als auch in die von KI-Systemen abgerufenen Daten haben. Dies umfasst:

  • Inventarisierung von KI-Modellen und Daten im gesamten Unternehmen 
  • Führen Sie klare Aufzeichnungen darüber, auf welche Daten KI-Systeme zugreifen können und zugegriffen haben.
  • Überwachen, was Daten KI-Systeme haben Zugriff, um Compliance und Sicherheit zu gewährleisten – um welche Vertraulichkeit es sich handelt, unter welche Richtlinien es fällt und welches Risiko es darstellt.
  • Implementierung von Sicherheitskontrollen für Daten und Modelle, einschließlich der Möglichkeit:
    • Warnung bei Daten mit hohem Risiko oder ungewöhnlichem Zugriff
    • Berechtigungen und Zugriff widerrufen
    • Beheben Sie Daten mit hohem Risiko 

Wie BigID beim EU-KI-Gesetz hilft

Der datenzentrierte Ansatz von BigID ermöglicht Unternehmen die proaktive Verwaltung der Einhaltung gesetzlicher Vorschriften – von der automatischen Erkennung von Daten und Systemen über die umfassende (und genaue) Klassifizierung von Daten und Systemen bis hin zur Behebung von Daten-, System- und Benutzerproblemen. Mit BigID können Unternehmen ihre Sicherheitslage verbessern, proaktiv Datenschutz und Risikominderung gewährleisten und risikobasierte Kontrollen implementieren. 

Der EU-KI-Act ist eine bahnbrechende Initiative – und wahrscheinlich nur die Spitze des Eisbergs in Sachen KI-Regulierung. Seien Sie dem KI-Act und der Compliance mit der sich entwickelnden KI-Regulierungslandschaft einen Schritt voraus mit BigID: tSprechen Sie mit unseren KI-Experten, Machen Sie eine Tour, und sehen Sie, wie BigID Organisationen aller Art hilft, ihre Daten zu kennen und zu kontrollieren – für KI-Regulierung, Innovation und mehr.

Autor

Sarah Hospelhorn

Verantwortlicher für Marketing

Mit Sitz in Brooklyn, NY, konzentriert sich Sarah auf die Strategie, die hinter der Lösung von Problemen im Bereich der Datensicherheit steht - und auf das Storytelling, das Innovationen auf dem Markt vorantreibt. Sie ist seit über 20 Jahren in der Technologiebranche tätig und verfügt über Erfahrungen in den Bereichen Unternehmenssoftware, Hardware und Kryptografie.

Inhalt